對區塊鏈審計的相關思考

顏涵

[摘要]規范的區塊鏈生態治理是推動區塊鏈技術與經濟社會融合發展的重要條件，獨立的審計角色勢必成為鏈上治理不可或缺的一環。本文從區塊鏈的特點及應用趨勢出發，明確審計在區塊鏈生態治理特別是聯盟鏈業態中的角色和定位，并基于區塊鏈技術的風險分析，系統闡述區塊鏈審計的方法及內容。

[關鍵詞]區塊鏈 ? ?審計 ? ?方法 ? ?程序 ? ?內容

一、區塊鏈的特點及應用趨勢

作為區塊鏈技術最有代表性的應用，近年來比特幣的持續火爆使人們逐漸認識了區塊鏈。區塊鏈是指通過一定的共識機制建立分布式節點信任關系，基于密碼學算法及獨特的遺傳式鏈狀數據結構保證數據不被篡改和偽造，在多個分布式節點傳遞賬本信息，通過鏈上參與節點確認的方式形成共識的一種分布式賬本。它具有去中心化、去信任、集體維護和不可篡改的特點，但也有交易性能偏低、數據延遲、存儲資源消耗大的缺點，基于區塊鏈的技術特性，它適用于多方參與、價值鏈條長、溝通環節復雜、交易頻次低的場景。《2018年中國區塊鏈產業白皮書》指出，區塊鏈已在金融服務、消費零售、醫療健康、政務服務等領域的數字資產、交易清算、供應鏈金融、征信、票據、資產托管、物流溯源、版權、投票、電子存證等方面得到應用。

按參與主體維度，區塊鏈分為公有鏈、私有鏈和聯盟鏈。公有鏈面向所有用戶開放，任何人都可以成為節點參與記賬，賬本內容完全公開;私有鏈是在私有環境下寫入，權限僅限于某個組織;聯盟鏈是兩者結合的產物，面向接入聯盟的組織和企業，其節點準入需要由預選可信節點進行審核控制，節點網絡與外部互聯網隔離。筆者認為“完全去中心化”是實踐區塊鏈分布式思想的最高境界，但從實際的商業需求分析，聯盟鏈則更適合于對隱私保護、交易速度和參與主體內部管理有更高要求的場景，能夠更好滿足市場主體對實際商業應用的落地要求，提升跨主體協作的效率，降低成本，并將在未來一段時間內獲得更大的發展機遇。本文所述的區塊鏈審計是基于私有鏈及聯盟鏈所面臨風險而開展的審計研究。

二、審計在區塊鏈治理中的定位與價值

區塊鏈技術是否可信？區塊鏈上運行的業務和數據是否真實可靠？如何讓利益相關各方在聯盟鏈方式下能夠足夠了解和信任區塊鏈？這是區塊鏈更大規模推廣及成熟應用需要解決，也是區塊鏈生態規范治理亟待回答的問題。

審計是一種獨立、客觀的確認和咨詢活動。從區塊鏈生態治理角度來看，獨立的公眾審計角色將成為鏈上治理不可或缺的一環，公眾審計的監督和披露有利于增進區塊鏈參與各方的信息共享以及對區塊鏈的信任;從區塊鏈參與者角度來看，企業內部審計應關注本公司、供應商及客戶所采用的區塊鏈技術及其應用情況，識別區塊鏈技術與現有業務流程的結合以及區塊鏈設施與現有上下游系統之間的關系，緩釋區塊鏈技術的應用風險，護航企業的發展;從技術發展的角度來看，區塊鏈所依賴的分布式存儲、共識機制、不可篡改等技術并不完美，技術的不完美可能導致數據不可依賴，所以可通過持續的審計工作及反饋，降低區塊鏈開發和應用過程中的技術風險，促進技術發展和完善。可見，審計的作用并不會隨著區塊鏈去中心化的實踐大幅減弱，相反它的功能性和價值將隨著區塊鏈的發展而增強。

截至2019年底，與區塊鏈相關的國際標準共計22項，主要是由國際標準化組織、電氣和電子工程師協會、國際電信聯盟三個國際組織提出。國內發布1項區塊鏈國家標準、16項團體標準、13項行業標準。總體來看，目前與區塊鏈相關的標準規范集中在基礎概念、通用技術、場景應用等方面。審計領域當前更多機構側重于探索運用區塊鏈技術開展審計工作以及基于區塊鏈的審計工具建設，而如何審計區塊鏈，包括審計方法、程序和具體內容，尚未形成標準化或規范化的指引。

三、區塊鏈審計的方法及內容

（一）審計的目標和策略

審計區塊鏈的目標是對區塊鏈及其應用的合理性、可靠性、合規性、安全性進行評價，獲取足夠且充分的證據，驗證和評估區塊鏈上數據和交易的真實性、完整性和準確性，給予區塊鏈信息使用者信心。與傳統審計不同，實施區塊鏈審計的策略應包括：

1.關注區塊鏈運行的控制設計與執行。區塊鏈各類數據分布式存儲于鏈式數據庫中，按時間戳進行排序，數據由所有節點共同記錄和存儲，數據的完整和準確通過技術手段保障，設法控制51%的算力繼而攻擊全鏈的成本較高，單個節點的數據篡改無法改變全鏈的共識，因此針對區塊記賬結果的實質性測試可適當減少，應將區塊鏈運行各環節控制的合理性和有效性作為測試重點。

2.關注“去中心”的中心單點風險。區塊鏈的節點數量一定程度決定了區塊鏈固有風險的大小，對于不同類型的區塊鏈，應當采取差異化的審計方法。私有鏈和聯盟鏈并非完全去中心化，對其開展審計有著更高的要求，審計實施過程中應當梳理和重點評估區塊鏈可能存在的功能性中心節點，實施差異化的審計程序。

3.關注區塊鏈應用場景與技術的結合。區塊鏈是應用和數據庫的結合，智能合約被嵌入到區塊鏈中自動執行預先設定的商業規則，在區塊鏈環境中“Code is law”，底層的商業協議、交易安排通過智能合約代碼實現，一旦寫入達到觸發條件便可自動執行，因此需關注智能合約應用與現行法律法規的關系和遵循性、代碼與業務邏輯的一致性、業務代碼的變更控制等方面，重視應用控制審計。

（二）審計的方法和內容

首先，對區塊鏈技術本身及其應用的具體場景展開風險分析;其次，基于風險分析結論，對區塊鏈技術的基礎架構、安全性以及可信性開展審計，判斷其數據所依賴的基礎系統是否可靠;再次，結合區塊鏈應用的商業場景，從控制設計的適當性及執行的有效性兩方面開展控制測試;最后，在完成基于架構及控制測試并獲得數據可靠性保證的基礎上，對區塊鏈應用場景中的虛擬資產執行實質性測試。

基于區塊鏈的技術特點及應用場景的風險特征分析，筆者提出GIAA審計框架，明確區塊鏈審計的具體內容。

1.區塊鏈管理架構（Governance）審計。該審計模塊關注區塊鏈生態的頂層設計及基礎環境，見表1。

2.區塊鏈部署與運行環境（Implementation）審計。對區塊鏈技術及其系統開展審計，是信息科技綜合審計的延伸，見表2。

3.區塊鏈應用（Application）控制審計。對區塊鏈應用場景與信息技術相結合的內容開展審計，重點在于智能合約、外部接口以及訪問授權，見表3。

4.區塊鏈賬項及報表（Account）審計。對區塊鏈應用中產生的財務和業務數據進行驗證，重點在于驗證鏈上虛擬資產與實物資產之間的關系。可將審計作為區塊鏈節點入鏈，獲取數據開展自動化審計，提升審計效率，見表4。

四、區塊鏈審計的未來展望

一是未來分層網絡及互聯混合鏈將會極大提升區塊鏈性能，區塊鏈與其他數字技術（如物流網）相結合，將深度拓展應用場景，當前區塊鏈技術在虛擬貨幣以外的各行業應用仍處于萌芽時期，而技術的不斷迭代是區塊鏈進一步落地應用的關鍵因素;二是當前區塊鏈治理和運營主要通過基金會或公司承擔，未來可能產生區塊鏈生態的可信管理人或仲裁人角色，區塊鏈技術將與現有法律法規和監管框架逐步銜接和融合;三是區塊鏈應用落地將促成公眾審計職能的出現，對審計標準與方法的探索會成為重點，區塊鏈技術對審計模式和實施方式等方面的影響將會顯現，同時，對審計人員的知識和能力提出更高要求和挑戰，引發審計工作的進一步轉型。

（作者單位：深圳前海微眾銀行股份有限公司，

郵政編碼：518000，電子郵箱：Leslieyan@webank.com）